Límite de datos de Hong Kong
En esta página, se describe el conjunto de controles que se aplican a las cargas de trabajo del límite de datos de Hong Kong en Assured Workloads. Proporciona información detallada sobre la residencia de los datos, los productos compatibles Google Cloud y sus extremos de API, y las restricciones o limitaciones aplicables a esos productos. La siguiente información adicional se aplica al límite de datos de Hong Kong:
- Residencia de datos: El paquete de controles del límite de datos de Hong Kong establece controles de ubicación de datos para admitir regiones solo de Hong Kong. Consulta la sección Restricciones de las políticas de la organización enGoogle Cloud para obtener más información.
- Asistencia: Los servicios de asistencia técnica para las cargas de trabajo del límite de datos de Hong Kong están disponibles con las suscripciones a la Atención al cliente de Cloud estándar, mejorada o premium. Los casos de asistencia de las cargas de trabajo del límite de datos de Hong Kong se enrutan al personal de asistencia global.
- Precios: El paquete de controles de límite de datos de Hong Kong se incluye en el nivel gratuito de Assured Workloads, que no genera cargos adicionales. Consulta los precios de Assured Workloads para obtener más información.
Productos y extremos de API compatibles
A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos compatibles a través de la consola de Google Cloud . En la siguiente tabla, se indican las restricciones o limitaciones que afectan las funciones de un producto compatible, incluidas las que se aplican a través de la configuración de restricciones de políticas de la organización.
Si un producto no aparece en la lista, significa que no es compatible y que no cumple con los requisitos de control del límite de datos de Hong Kong. No se recomienda usar los productos no admitidos sin la diligencia debida y una comprensión exhaustiva de tus responsabilidades en el modelo de responsabilidad compartida. Antes de usar un producto no compatible, asegúrate de conocer y aceptar los riesgos asociados, como los impactos negativos en la residencia o la soberanía de los datos.
| Producto compatible | extremos de API | Restricciones o limitaciones |
|---|---|---|
| Aprobación de acceso |
accessapproval.googleapis.com |
Ninguno |
| Access Context Manager |
accesscontextmanager.googleapis.com |
Ninguno |
| Transparencia de acceso |
accessapproval.googleapis.com |
Ninguno |
| AlloyDB para PostgreSQL |
alloydb.googleapis.com |
Ninguno |
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.com |
Ninguno |
| Artifact Registry |
artifactregistry.googleapis.com |
Ninguno |
| Copia de seguridad para GKE |
gkebackup.googleapis.com |
Ninguno |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerydatatransfer.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
Funciones afectadas |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
Ninguno |
| Certificate Authority Service |
privateca.googleapis.com |
Ninguno |
| Cloud Build |
cloudbuild.googleapis.com |
Ninguno |
| Cloud Composer |
composer.googleapis.com |
Ninguno |
| Cloud DNS |
dns.googleapis.com |
Ninguno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Ninguno |
| Cloud External Key Manager (Cloud EKM) |
cloudkms.googleapis.com |
Ninguno |
| Cloud Run Functions |
run.googleapis.com |
Ninguno |
| Cloud HSM |
cloudkms.googleapis.com |
Ninguno |
| Cloud Interconnect |
compute.googleapis.com |
Ninguno |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Ninguno |
| Cloud Load Balancing |
compute.googleapis.com |
Ninguno |
| Cloud Logging |
logging.googleapis.com |
Funciones afectadas |
| Cloud Monitoring |
monitoring.googleapis.com |
Ninguno |
| Cloud NAT |
compute.googleapis.com |
Ninguno |
| API de Cloud OS Login |
oslogin.googleapis.com |
Ninguno |
| Cloud Router |
compute.googleapis.com |
Ninguno |
| Cloud Run |
run.googleapis.com |
Funciones afectadas |
| Cloud SQL |
sqladmin.googleapis.com |
Ninguno |
| Cloud SQL para PostgreSQL |
sqladmin.googleapis.com |
Ninguno |
| Cloud Storage |
storage.googleapis.com |
Ninguno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Ninguno |
| Cloud VPN |
compute.googleapis.com |
Ninguno |
| API de Cloud Vision |
vision.googleapis.com |
Ninguno |
| Cloud Workstations |
workstations.googleapis.com |
Ninguno |
| Compute Engine |
compute.googleapis.com |
Funciones afectadas y restricciones de las políticas de la organización |
| Sincronizador de configuración |
anthosconfigmanagement.googleapis.com |
Ninguno |
| Connect |
gkeconnect.googleapis.com |
Ninguno |
| Sensitive Data Protection |
dlp.googleapis.com |
Ninguno |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
Ninguno |
| Dataform |
dataform.googleapis.com |
Ninguno |
| Dataplex Universal Catalog |
dataplex.googleapis.comdatalineage.googleapis.com |
Ninguno |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
Ninguno |
| Document AI |
documentai.googleapis.com |
Ninguno |
| Contactos esenciales |
essentialcontacts.googleapis.com |
Ninguno |
| Eventarc |
eventarc.googleapis.com |
Ninguno |
| Filestore |
file.googleapis.com |
Ninguno |
| Reglas de seguridad de Firebase |
firebaserules.googleapis.com |
Ninguno |
| Firestore |
firestore.googleapis.com |
Ninguno |
| GKE Hub |
gkehub.googleapis.com |
Ninguno |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
Ninguno |
| IA generativa en Vertex AI |
aiplatform.googleapis.com |
Ninguno |
| Google Cloud Armor |
compute.googleapis.comnetworksecurity.googleapis.com |
Funciones afectadas |
| Google Kubernetes Engine (GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
Ninguno |
| Google Security Operations SIEM |
chronicle.googleapis.comchronicleservicemanager.googleapis.com |
Ninguno |
| Google Security Operations SOAR |
Not applicable |
Ninguno |
| Administración de identidades y accesos (IAM) |
iam.googleapis.com |
Ninguno |
| Identity-Aware Proxy (IAP) |
iap.googleapis.com |
Ninguno |
| Infrastructure Manager |
config.googleapis.com |
Ninguno |
| Looker (Google Cloud Core) |
looker.googleapis.com |
Ninguno |
| Memorystore para Redis |
redis.googleapis.com |
Ninguno |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
Ninguno |
| Servicio de políticas de la organización |
orgpolicy.googleapis.com |
Ninguno |
| Persistent Disk |
compute.googleapis.com |
Ninguno |
| Personalized Service Health |
servicehealth.googleapis.com |
Ninguno |
| Pub/Sub |
pubsub.googleapis.com |
Ninguno |
| Resource Manager |
cloudresourcemanager.googleapis.com |
Ninguno |
| Secure Source Manager |
securesourcemanager.googleapis.com |
Ninguno |
| Acceso a VPC sin servidores |
vpcaccess.googleapis.com |
Ninguno |
| Speech-to-Text |
speech.googleapis.com |
Ninguno |
| Servicio de transferencia de almacenamiento |
storagetransfer.googleapis.com |
Ninguno |
| Cloud Service Mesh |
trafficdirector.googleapis.com |
Ninguno |
| Controles del servicio de VPC |
accesscontextmanager.googleapis.com |
Ninguno |
| Vertex AI Search |
discoveryengine.googleapis.com |
Ninguno |
| Nube privada virtual (VPC) |
compute.googleapis.com |
Ninguno |
Restricciones y limitaciones
En las siguientes secciones, se describen las restricciones o limitaciones de las funciones en Google Cloudgeneral o específicas del producto, incluidas las restricciones de políticas de la organización que se establecen de forma predeterminada en las carpetas del límite de datos de Hong Kong. Otras restricciones de políticas de la organización aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos de tu organización Google Cloud .
Google Cloudde ancho
Restricciones de las políticas de la organización en toda laGoogle Cloud
Las siguientes restricciones de política de la organización se aplican en Google Cloud.
| Restricción de las políticas de la organización | Descripción |
|---|---|
gcp.resourceLocations |
Establece las siguientes ubicaciones en la lista allowedValues:
Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera de un límite de datos que cumpla con los requisitos. |
gcp.restrictServiceUsage |
Se configura para permitir todos los productos y extremos de API compatibles. Determina qué servicios se pueden usar restringiendo el acceso en el tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringe el uso de recursos. |
gcp.restrictTLSVersion |
Se establece para rechazar las siguientes versiones de TLS:
|
BigQuery
Funciones de BigQuery afectadas
| Función | Descripción |
|---|---|
| Cómo habilitar BigQuery en una carpeta nueva | BigQuery es compatible, pero no se habilita automáticamente cuando creas una carpeta nueva de Assured Workloads debido a un proceso de configuración interno. Este proceso suele finalizar en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:
Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta de Assured Workloads. Assured Workloads no admite Gemini en BigQuery. |
| Características no compatibles | Las siguientes funciones de BigQuery no son compatibles y no se deben usar en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para Assured Workloads.
|
| CLI de BigQuery | Se admite la CLI de BigQuery.
|
| SDK de Google Cloud | Debes usar la versión 403.0.0 o posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos técnicos. Para verificar tu versión actual del SDK de Google Cloud, ejecuta gcloud --version y, luego, gcloud components update para actualizar a la versión más reciente.
|
| Controles del administrador | BigQuery inhabilitará las APIs no compatibles, pero los administradores con permisos suficientes para crear una carpeta de Assured Workloads pueden habilitar una API no compatible. Si esto ocurre, recibirás una notificación sobre el posible incumplimiento a través del panel de supervisión de Assured Workloads. |
| Carga datos | No se admiten los conectores del Servicio de transferencia de datos de BigQuery para las aplicaciones de software como servicio (SaaS) de Google, los proveedores externos de almacenamiento en la nube ni los almacenes de datos. Es tu responsabilidad no usar conectores del Servicio de transferencia de datos de BigQuery para cargas de trabajo del límite de datos de Hong Kong. |
| Transferencias de terceros | BigQuery no verifica la compatibilidad con las transferencias de terceros para el Servicio de transferencia de datos de BigQuery. Es tu responsabilidad verificar la compatibilidad cuando uses cualquier transferencia de terceros para el Servicio de transferencia de datos de BigQuery. |
| Modelos de BQML que no cumplen con los requisitos | Los modelos de BQML entrenados de forma externa no son compatibles. |
| Trabajos de consulta | Los trabajos de consulta solo se deben crear dentro de las carpetas de Assured Workloads. |
| Consultas sobre conjuntos de datos en otros proyectos | BigQuery no impide que se consulten los conjuntos de datos de Assured Workloads desde proyectos que no son de Assured Workloads. Debes asegurarte de que cualquier consulta que tenga una lectura o una unión en los datos de Assured Workloads se coloque en una carpeta de Assured Workloads. Puedes especificar un nombre de tabla completo para el resultado de la consulta con projectname.dataset.table en la CLI de BigQuery.
|
| Cloud Logging | BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Debes inhabilitar tus buckets de registros de _default o restringir los buckets de _default a las regiones dentro del alcance para mantener el cumplimiento con el siguiente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Consulta Regionaliza tus registros para obtener más información. |
Compute Engine
Funciones de Compute Engine afectadas
| Función | Descripción |
|---|---|
| Entorno huésped | Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de tu VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más. Estos componentes te ayudan a cumplir con la soberanía de los datos a través de procesos y controles de seguridad internos. Sin embargo, si deseas un control adicional, también puedes seleccionar tus propias imágenes o agentes y, de forma opcional, usar la restricción de la política de la organización compute.trustedImageProjects.
Consulta la página Compila una imagen personalizada para obtener más información. |
| Políticas del SO en VM Manager |
Las secuencias de comandos intercaladas y los archivos de salida binarios dentro de los archivos de políticas del SO
no se encriptan con claves de encriptación administradas por el cliente (CMEK).
Por lo tanto, no incluyas información sensible en estos archivos.
Como alternativa, considera almacenar estos
archivos de salida y secuencias de comandos en buckets de Cloud Storage. Para obtener más información, consulta Ejemplos de políticas del SO. Si deseas restringir la creación o modificación de recursos de políticas del SO que usan secuencias de comandos intercaladas o archivos de salida binarios, habilita la restricción de la política de la organización constraints/osconfig.restrictInlineScriptAndOutputFileUsage.Para obtener más información, consulta Restricciones de OS Config. |
Restricciones de las políticas de la organización de Compute Engine
| Restricción de las políticas de la organización | Descripción |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Configurado como True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales y la adición o modificación de reglas a las políticas de seguridad de Google Cloud Armor globales existentes. Esta restricción no limita la eliminación de reglas ni la capacidad de quitar o cambiar la descripción y la publicación de políticas de seguridad globales de Google Cloud Armor. Las políticas de seguridad regionales de Google Cloud Armor no se ven afectadas por esta restricción. Todas las políticas de seguridad globales y regionales que existían antes de la aplicación de esta restricción siguen vigentes. |
compute.restrictNonConfidentialComputing |
(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Consulta la
documentación de Confidential VM
para obtener más información. |
compute.trustedImageProjects |
(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional.
Si configuras este valor, se restringe el almacenamiento de imágenes y la creación de instancias de disco a la lista especificada de proyectos. Este valor afecta la soberanía de los datos, ya que se impide el uso de agentes o imágenes no autorizados. |
Cloud Logging
Funciones de Cloud Logging afectadas
| Función | Descripción |
|---|---|
| Receptores de registros | Los filtros no deben contener datos del cliente. Los receptores de registros incluyen filtros que se almacenan como configuración. No crees filtros que contengan datos del cliente. |
| Entradas de registro de transmisión de registros en tiempo real | Los filtros no deben contener datos del cliente. Una sesión de transmisión de registros en tiempo real incluye un filtro que se almacena como configuración. Los registros de cola no almacenan ningún dato de entrada de registro, pero pueden consultar y transmitir datos entre regiones. No crees filtros que contengan datos del cliente. |
¿Qué sigue?
- Aprende a crear una carpeta de Assured Workloads.
- Comprende los precios de Assured Workloads